インサイダー リスク管理でレポートを使用する
重要
Microsoft Purview インサイダー リスク管理は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまな信号を関連付けます。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。
Microsoft Purview インサイダー リスク管理のレポートを使用して、インサイダー リスク プログラムの状況を理解します。 レポートは、潜在的なリスク領域に関する分析情報を特定するのに役立つ、Microsoft サービス全体の対象となるリスク アクティビティから生成されたアラート、ケース、ユーザー アクティビティ、分析など、インサイダー リスクに関連するすべての領域について、より深い分析情報と概要情報を提供します。
次のレポートを使用するには、Microsoft Purview ポータルで Insider Risk Management>Reports に移動します。
- アラート (プレビュー): 生成されたアラートの 傾向 、時間の経過に伴うアラートに対するアクション、およびポリシー別のアラートを表示します。
- 分析: organizationで検出された匿名化されたユーザー アクティビティの概要を表示します。
- ケース (プレビュー): 作成されたケースの 傾向 、時間の経過に伴うケースに対するアクション、およびケースの状態をポリシーとリージョン別に表示します。
- ユーザー アクティビティ: ポリシーまたはアラートにユーザーが含まれているかどうかに関係なく、最近のユーザー アクティビティを確認します。
レポートを操作する
Insider Risk Management レポートを開始して表示するには、該当するロールまたはロール グループのメンバーである必要があります。 アラートとケースのレポートを表示するためのアクセス許可の要件と、分析用のレポートを表示するために必要なアクセス許可は異なります。 organizationが管理単位を使用している場合は、これらのレポートに対してアクセスが異なる場合があります。 詳細については、以下を参照してください:
グラフのカスタマイズ
レポート領域ごとに、定義済みのレポート フィルター コントロールと日付セレクターを使用して、分析情報を特定の条件または日付範囲にすばやく絞り込むのに役立ちます。 各領域のページ上部にあるフィルターを選択して、領域内のすべてのレポートをすばやくフィルター設定の範囲に絞り込みます。 レポートの日付については、特定の月を選択するか、[ 過去 3 か月 ] を選択してレポート領域のすべてのデータを表示します。
また、各レポート領域に既定で表示するレポートを選択して選択することもできます。 各領域に表示されるレポートをカスタマイズするには、[ ビューのカスタマイズ] を選択します。 [ ビューのカスタマイズ ] ポップアップ ウィンドウでは、表示するレポートと、各領域で非表示にするレポートを選択できます。
グラフの詳細
レポートに含まれる結果をさらに詳しく調べるには、[レポートの 詳細の表示 ] を選択します。 詳細ビューでは、フィルターを使用して情報のスコープを設定し、日付またはポリシーによってビューを変更できます。 レポートに含まれるデータをエクスポートするには、[ エクスポート ] を選択して、レポート グラフの画像またはレポート値を含む .csv ファイルをダウンロードします。
アラート レポート (プレビュー)
潜在的に危険なユーザー アクティビティを調査することは、組織のインサイダー リスクを最小限に抑えるための重要な最初のステップです。 これらのリスクは、インサイダー リスク管理ポリシーからアラートを生成するアクティビティである可能性があります。 アラート レポートは、アラート ボリューム、アラートの管理の進行状況、一般的なアラート ソース、トリアージに費やされた時間に関する分析情報を提供します。 すべてのアラート、確認済みアラート、および無視されたアラートで、すべてのアラート レポートをすばやくフィルター処理できます。
| レポートの種類 | レポート | 説明 |
|---|---|---|
| 概要 | 生成されたアラート | 指定した期間に生成された低、中、高の重大度のアラートの数を表示します。 |
| アクションを実行したアラート | 指定した日付範囲でケースに対して確認または無視されたアラートの数を表示します。 | |
| 却下の理由 | 表示。。。 | |
| 人口 統計 | アラートを含む上位の国/地域 | どの国または地域にいるかに基づいて、ユーザーに対して生成されたアラートの数を表示します。 [指定されていません] は、国または地域がMicrosoft Entra IDで指定されていないことを意味します。 |
| 部署によって生成されたアラート | ユーザーが所属している部署に基づいて生成されたアラートの数を表示します。 [指定されていません] は、部署がMicrosoft Entra IDで指定されていないことを意味します。 | |
| Insights | 上位トリガー イベントによるアラート | 指定した日付範囲で検出された上位トリガー イベントに基づいてアラートの数を表示します。 |
| アラートを生成した上位アクティビティ別のアラート | 指定した日付範囲で検出された上位のアクティビティに基づいてアラートの数を表示します。 | |
| 生産性 | 割り当てごとのアラートの状態 | 特定の管理者に割り当てられたアラートの数を、アラートの状態別に表示します。 |
| 平均日数アラートはニーズ レビューにあります | 指定した日付範囲の [ 要確認 ] 状態にアラートが残っている平均日数を表示します。 | |
分析レポート
organizationの最初の分析スキャンが完了すると、Insider Risk Management Admins ロール グループのメンバーは自動的に電子メール通知を受け取り、ユーザーが危険な可能性のあるアクティビティに関する最初の分析情報と推奨事項を表示できます。 organizationの分析をオフにしない限り、毎日のスキャンは続行されます。 organizationで危険な可能性のあるアクティビティの最初のインスタンスの後に、分析 (データ リーク、盗難、流出) の 3 つのスコープ内カテゴリごとに、管理者にEmail通知が提供されます。 Email通知は、毎日のスキャンに起因するフォローアップ リスク管理アクティビティ検出のために管理者に送信されません。
注:
分析設定を無効にしてから再度有効にすると、自動電子メール通知がリセットされ、新しいスキャン分析情報を得るために Insider Risk Management Admins ロール グループのメンバーに電子メール通知が送信されます。
organizationの潜在的なリスクを表示するには、「Insider Risk Management>Reports>Analytics」を参照してください。
注:
organizationのスキャンが完了していない場合は、スキャンがまだアクティブであることを示すメッセージが表示されます。
完了した分析については、organizationで検出された潜在的なリスクと、これらのリスクに対処するための分析情報と推奨事項が表示されます。 特定されたリスクと特定の分析情報は、領域別にグループ化されたレポート、特定されたリスクを持つユーザーの合計数 (ユーザー、ゲスト、システムなど、すべての種類のMicrosoft Entra アカウント)、リスクの可能性があるこれらのユーザーの割合、およびこれらのリスクを軽減するための推奨されるインサイダー リスク ポリシーに含まれます。 レポートには次のものが含まれます。
- データ リークの分析情報: organization外の情報の偶発的な過剰共有や、悪意のあるユーザーによるデータ リークを含む可能性のあるすべてのユーザー向け。
- データの盗難に関する分析情報: organization外の情報の危険な共有や悪意のあるユーザーによるデータの盗難を含む可能性がある、削除されたMicrosoft Entra アカウントを持つユーザーまたはユーザーを離れる場合。
- 上位の流出分析情報: organizationの外部でデータを共有する可能性があるすべてのユーザーに対して。
分析情報の詳細を表示するには、[ 詳細の表示 ] を選択して、分析情報の詳細ウィンドウを表示します。 詳細ウィンドウには、完全な分析情報の結果、インサイダー リスク ポリシーの推奨事項、推奨ポリシーの作成に役立つ ポリシーの作成 が含まれています。 [ ポリシーの作成 ] を選択すると、ポリシー ワークフローに移動し、分析情報に関連する推奨ポリシー テンプレートが自動的に選択されます。 たとえば、分析分析情報が データ盗難 アクティビティの場合、ポリシー ワークフローで データ盗難 ポリシー テンプレートが事前に選択されます。
ケース レポート (プレビュー)
ケース を使用すると、ポリシーで定義されているリスク インジケーターによって生成された問題を深く調査して対処できます。 ユーザーのコンプライアンス関連の問題に対処するためにさらにアクションが必要な状況では、アラートからケースが手動で作成されます。 ケース レポートは、ケースの種類、ケースの現在の状態、地域または割り当て別のケースなどを追跡するのに役立つケースの傾向情報を提供します。 すべてのケース、確認済みケース、および問題のないケースで、すべてのケース レポートをすばやくフィルター処理できます。
| レポートの種類 | レポート | 説明 |
|---|---|---|
| 概要 | 作成されたケース | 指定した日付範囲で生成されたケースの数を表示します。 |
| アクションを実行したケース | 指定した日付範囲のアクティビティを含むケースの数を表示します。 | |
| 人口 統計 | ケースがある上位の国/地域 | どの国または地域にいるかに基づいて、ユーザーに対して生成されたケースの数を表示します。 [指定されていません] は、国または地域がMicrosoft Entra IDで指定されていないことを意味します。 |
| ケースを含む上位の部門 | ユーザーが所属している部署に基づいて生成されたケースの数を表示します。 [指定されていません] は、国または地域がMicrosoft Entra IDで指定されていないことを意味します。 | |
| 生産性 | 割り当てごとのケースの状態 | 特定の管理者に割り当てられたケースの数を、アラートの状態別に表示します。 |
| アクティブな状態の平均日数 | 指定した日付範囲でケースが アクティブ 状態のままであった平均日数を表示します。 | |
ユーザー アクティビティ レポート
ユーザー アクティビティ レポートを使用すると、潜在的に危険なアクティビティ (特定のユーザーおよび定義された期間) を調べることができます。これらのアクティビティを一時的または明示的にインサイダー リスク管理ポリシーに割り当てる必要はありません。 ほとんどのインサイダー リスク管理シナリオでは、ユーザーはポリシーで明示的に定義されており、ポリシー アラート (トリガー イベントに応じて) とアクティビティに関連付けられたリスク スコアを持つ場合があります。 ただし、シナリオによっては、ポリシーで明示的に定義されていないユーザーのアクティビティを調べたい場合があります。 これらのアクティビティは、ユーザーと潜在的に危険なアクティビティに関するヒントを受け取ったユーザー、または通常はインサイダー リスク管理ポリシーに割り当てる必要がないユーザー向けである可能性があります。
インサイダー リスク管理の [設定] ページでインジケーターを構成すると、選択したインジケーターに関連付けられている潜在的に危険なアクティビティについて、ユーザー アクティビティが検出されます。 この構成は、トリガー イベントがあるかどうか、またはアラートを作成するかどうかに関係なく、ユーザーに対して検出されたすべてのアクティビティを確認できることを意味します。 レポートはユーザーごとに作成され、カスタム 90 日間のすべてのアクティビティを含めることができます。 同じユーザーの複数のレポートはサポートされていません。
潜在的に危険なアクティビティを調査した後、調査担当者は個々のユーザーのアクティビティを良性として却下できます。 また、レポートへのリンクを他の調査員と共有またはメールで送信したり、インサイダー リスク管理ポリシーに (一時的または明示的に) ユーザーを割り当てることもできます。 [ユーザー アクティビティ レポート] ページを表示するには、ユーザーがインサイダー リスク管理調査担当者の役割グループに割り当てられている必要があります。
ユーザー アクティビティ レポートを作成する
ユーザー アクティビティ レポートを作成するには、次の手順を実行します。
- Insider Risk Management>Reports>User アクティビティに移動します。
- [ ユーザー アクティビティ レポートの作成] を選択します。
- 開始日の日付を選択 します。
- [終了日] の日付を選択 します。
- [ ユーザー ] フィールドで、名前またはユーザー プリンシパル名で 1 人以上のユーザーを検索します。
- [ レポートの作成] を選択します。
ユーザー アクティビティ データは、アクティビティが発生してから約 48 時間後に報告できます。 たとえば、12 月 1 日のユーザー アクティビティ データを確認するには、レポートを作成する前に少なくとも 48 時間が経過していることを確認する必要があります (早ければ 12 月 3 日にレポートを作成します)。
通常、新しいレポートは、レビューの準備が整うまでに最大 10 時間かかります。 レポートの準備ができたら、[ユーザー アクティビティ レポート] ページの [状態] 列に [レポートの準備完了] が表示されます
ユーザー アクティビティ レポートを表示する
詳細レポートを表示するユーザーを選択します。
選択したユーザーのユーザー アクティビティ レポートには、[ユーザー アクティビティ] 、[アクティビティ エクスプローラー] 、[フォレンジック エビデンス] タブが含まれています。
- ユーザー アクティビティ: このグラフ ビューを使用して、潜在的に危険なアクティビティを調査し、連続して発生する潜在的に関連するアクティビティを表示します。 このタブは、すべてのアクティビティの履歴タイムライン、アクティビティの詳細、ケース内のユーザーの現在のリスク スコア、一連のリスク イベント、調査作業に役立つフィルタリング コントロールなど、ケースをすばやく確認できるように構成されています。 詳細については、「 ユーザー アクティビティ」を参照してください。
- アクティビティ エクスプローラー: このタブは、アクティビティに関する詳細情報を提供する包括的な分析ツールをリスク調査担当者に提供します。 アクティビティ エクスプローラーを使用すると、レビュー担当者は、検出された危険なアクティビティのタイムラインをすばやく確認し、アラートに関連付けられている潜在的に危険なアクティビティをすべて特定してフィルター処理できます。 詳細については、「 アクティビティ エクスプローラー」を参照してください。
- フォレンジック証拠: このタブを使用すると、リスク調査担当者は 、フォレンジック証拠検出のケースに含まれるリスク アクティビティに関連する視覚的キャプチャを確認できます。